CERT-SE startsida
Sök inom CERT-SE
Uppdaterad: 2021-08-02 10:11 Publicerad: 2021-07-03 09:24

Kritiska sårbarheter i Kaseya VSA

Sårbarhet Kaseya

Företaget Kaseya har gått ut med en rekommendation att omedelbart stänga ner servrar med produkten Kaseya VSA på grund av en kritisk sårbarhet [1, 2]. En säkerhetsuppdatering finns nu tillgänglig.

Sårbarheten kan leda till att en angripare kan ta över servern och låsa nätverket med hjälp av ransomware. [3]

Uppdatering 2021-07-03

Kaseya levererar it-system för fjärrstyrning och drift av klienter och servrar inom bland annat detaljhandeln. Sårbarheten i Kaseya VSA har orsakat stora störningar hos flera svenska och internationella organisationer. [4]

Uppdatering 2021-07-06

FBI har tillsammans med CERT-SE:s amerikanska motsvarighet CISA publicerat tips och råd kring hantering till kunder som är drabbade av Kasyea VSA-incidenten. [5]

Uppdatering 2021-07-12

Kaseya har publicerat en säkerhetsuppdatering för VSA som körs lokalt hos företaget och även påbörjat återställningen av VSA SaaS [6]. Kaseya har också publicerat en guide för att förbereda säkerhetsuppdateringen för VSA som körs lokalt [7] samt en guide för att härda systemet [8].

Uppdatering 2021-07-15

Kaseya informerar om att det finns en risk att säkerhetsuppdateringen inte ominstalleras om VSA ominstalleras. Det gäller om alternativet “installera den senaste säkerhetsuppdateringen” har avmarkerats vid ominstallation av VSA, eller om processen för ominstallation har körts utan att alternativet “installera säkerhetsuppdatering” har valts [9]. Kaseya har släppt ett verktyg för att kontrollera att säkerhetsuppdateringen är korrekt installerad [10].

Uppdatering 2021-07-20

Kaseya har publicerat ytterligare säkerhetsuppdateringar för VSA 9.5.7.3011 som berör VSA SaaS och VSA On-Premises [11].

Uppdatering 2021-08-02

Ytterligare en säkerhetsuppdatering för VSA SaaS, VSA 9.5.7d (9.5.7.3070), finns nu tillgänglig [12].

Påverkade produkter

Sårbarheten berör följande produkter:Kaseya VSA

Rekommendationer

CERT-SE rekommenderar att installera säkerhetsuppdateringen så snart som möjligt. Systemen som är tagna ur drift bör uppdateras innan de tas i drift igen. Systemen bör också genomsökas efter tecken på intrång.

Källor

[1] https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689-Important-Notice-July-2nd-2021

[2] https://status.kaseya.net/pages/maintenance/5a317d8a2e604604d65c1c76/60df588ba49d1e05371e9d8b

[3] https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-200-companies-in-msp-supply-chain-attack/

[4] https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689

[5] https://us-cert.cisa.gov/ncas/current-activity/2021/07/04/cisa-fbi-guidance-msps-and-their-customers-affected-kaseya-vsa

[6] https://helpdesk.kaseya.com/hc/en-gb/articles/4403785889041

[7] https://helpdesk.kaseya.com/hc/en-gb/articles/4403709150993

[8] https://helpdesk.kaseya.com/hc/en-gb/articles/4403760102417

[9] https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689-Important-Notice-July-14th-2021

[10] https://app.box.com/s/5kqsbdj9aajezsc63jzaadpka5esk1v8

[11] https://helpdesk.kaseya.com/hc/en-gb/articles/4404146456209

[12] https://helpdesk.kaseya.com/hc/en-gb/articles/4404877450513-9-5-7d-Maintenance-Release-2-August-2021-